1,在上文中介绍了暴力破解的简单使用(无验证码的),这种暴力破解因为过于简单,其实在网络世界中很少被使用,而在网络中使用率比它高的有爆破含验证码的
登录。这是暴力破解的主流,也是暴力破解中经常使用的。
2,今天我们介绍含验证码的暴力破解中验证码在前端没有在后端,我们这次使用的工具是burpsuit,因为burpsuit的拦截是拦截服务器端向前端的信息,而验证码如果指在
前端检查,没有传播到后端,实际服务器就没有使用验证码验证,类似于只做表面功夫,实际与不含验证码的暴力破解相同。
3,那么我们重点应该放在如何发现这种验证码只在前端的情况,验证码只在前端可以通过网页源代码进行分析,因为如果 验证码只在前端,其实使用js编写的网页,
我们可以打开网页源代码进行查看
4,或者可以发送到Repeater然后查看Repeater页面中的情况,并修改验证码,点发送,相当于发送到服务器端,看返回的情况,如果js代码中未返回验证码错误,而只
返回密码或用户名错误,就可以直接进行暴力破解,不需要管验证码了